الأسئلة المتداولة عن إدارة الثغرات الأمنية من Tenable

تُعد منصة إدارة الثغرات الأمنية أحد حلول إدارة الثغرات الأمنية القائمة على المخاطر التي تمنحك رؤية شاملة للشبكة للتنبؤ بالهجمات والاستجابة السريعة للثغرات الأمنية الحرجة. يوفر الاكتشاف والتقييم المستمر والدائم الرؤية التي تحتاجها للعثور على كل الأصول الموجودة على شبكتك، فضلًا عن الثغرات الأمنية المخفية بتلك الأصول. وتساعدك ميزة تحديد الأولويات المضمنة والتحليل الذكي للتهديدات وإعداد التقارير على الفور على فهم تعرضك للمخاطر وتعطيل مسارات الهجوم بشكل استباقي. فاستنادًا إلى تقنية Tenable Nessus الرائدة والمدارة في السحابة، يمكنك الحصول على رؤية كاملة للأصول والثغرات الأمنية على شبكتك؛ بحيث تتمكن من فهم المخاطر بسرعة وبدقة، فضلًا عن معرفة الثغرات الأمنية التي يجب إصلاحها أولًا.

وتمثل إدارة الثغرات من Tenable جزءًا لا يتجزأ من Tenable One، وهي منصة إدارة التعرض من Tenable. تستند منصة Tenable One على حل إدارة الثغرات الأمنية من Tenable وتقدم رؤى قابلة للتنفيذ بشأن المخاطر الأمنية في البنية التحتية بالكامل - بما يشمل المثيلات السحابية وتطبيقات الويب والدليل النشط (AD) وغيرها المزيد، وحتى الأصول الديناميكية للغاية مثل الأجهزة المحمولة والآلات الافتراضية والحاويات. للارتقاء بإدارة المخاطر السيبرانية إلى مستوى أعلى، يمكنك الحصول على مقاييس وقدرات إضافية لتحديد الأولويات، مثل تصورات سطح الهجوم، وتقييمات أهمية الأصول، وتسجيل التعرض القائم على المخاطر، وقياس الأداء وفق المعايير المرجعية بين الأقران، إضافة إلى القدرة على تتبع تقليل المخاطر بمرور الوقت.

لمعرفة المزيد حول إدارة الثغرات الأمنية من Tenable، يرجى زيارة صفحة منتج إدارة الثغرات الأمنية من Tenable، أو حضور الندوة الإلكترونية القادمة أو الاتصال بشريك Tenable المعتمد أو ممثل Tenable لديك للحصول على مزيد من المعلومات.

يرجى التسجيل للحصول على تقييم مجاني لإدارة الثغرات الأمنية من Tenable بزيارة https://www.tenable.com/try.

يمكنك شراء تطبيقات إدارة الثغرات الأمنية من Tenable من خلال العمل مع شريك Tenable المحلي المعتمد، أو الاتصال بممثل Tenable لديك أو زيارة موقع Tenable.com.

نعم.يمكنك ترخيص تطبيقات Tenable بشكلٍ فردي. على سبيل المثال، يمكن ترخيص فحص تطبيقات الويب من Tenable وحده، دون الحاجة إلى إمكانات إدارة الثغرات الأمنية الخاصة بتطبيق إدارة الثغرات الأمنية من Tenable.

يتم الحصول على ترخيص إدارة الثغرات الأمنية من Tenable باشتراك سنوي ويتم التسعير حسب الأصول، وليس حسب عنوان IP. ويتيح ذلك للعملاء تبني تقنيات جديدة، مثل السحابة دون خوف من ازدواجية الحساب.

لمزيد من المعلومات حول التسعير والترخيص، يُرجى مراجعة القسم أدناه.

الأصل عبارة عن:

• جهاز مادي أو افتراضي بنظام تشغيل متصل بشبكة
• تطبيق ويب مع اسم المجال المؤهل بالكامل (FQDN)
• مورد سحابة نشط (غير منتهي)

وتشمل الأمثلة: أجهزة الكمبيوتر المكتبية، وأجهزة اللابتوب، والخوادم، وأجهزة التخزين أو أجهزة الشبكة، والهواتف، والأجهزة اللوحية، والأجهزة الافتراضية، والمثيلات السحابية، والحاويات، وغيرها.

يتم الحصول على ترخيص فحص تطبيقات الويب من Tenable بالاشتراك السنوي ويتم التسعير حسب كمية الأصول. يتم تسعير فحص تطبيقات الويب من Tenable وفق العدد الإجمالي لأسماء النطاقات المؤهلة بالكامل (FQDN) التي يقيمها المنتج.

لمزيد من المعلومات حول التسعير والترخيص، يُرجى مراجعة القسم أدناه.

نعم.توفر Tenable أول ضمان لوقت التشغيل في صناعة إدارة الثغرات الأمنية من خلال اتفاقية مستوى خدمة (SLA) قوية لإدارة الثغرات الأمنية من Tenable. يتم تقديم أرصدة الخدمة في حالة عدم استيفاء اتفاقية مستوى الخدمة، تمامًا مثل الموردين السحابيين الرائدين، مثل خدمات أمازون ويب (AWS).

الوثائق الفنية الخاصة بجميع منتجات Tenable، بما في ذلك Tenable Vulnerability Management، متوفرة على الموقع الإلكتروني https://docs.tenable.com.

نعم.يمكنك استخدام كلا الحلين. يمكن للعملاء اختيار النشر الهجين لإدارة الثغرات الأمنية، وذلك باستخدام كل من مركز أمان Tenable وإدارة الثغرات الأمنية من Tenable. كما يمكن للعملاء المهتمين بتطبيق صناعة بطاقات الدفع (PCI)/مورد الفحص المعتمد (ASV) أو غيرهما من تطبيقات إدارة الثغرات الأمنية من Tenable اختيار النشر الهجين إلى جانب مثيل مركز أمان Tenable لديهم.

نعم.وبالنسبة إلى العملاء المهتمين، هناك مجموعة من الخيارات للانتقال بسلاسة من مركز أمان Tenable إلى إدارة الثغرات الأمنية من Tenable، مع الدعم الكامل من Tenable أو الشريك المعتمد لديك. لمزيد من المعلومات، يرجى الاتصال بشريك Tenable المعتمد أو ممثل Tenable لديك.

إدارة سطح الهجوم الخارجي (EASM) هي إمكانية تُقدمها شركة Tenable توفر رؤية للنقاط العمياء خارج محيط شبكتك. وتتيح لك هذه الإمكانية فحص مجالك؛ بهدف العثور على أصول متصلة بالإنترنت غير معروفة سابقًا، والتي يمكن أن تشكل مخاطر كبيرة على مؤسستك.

نعم، توفر إدارة الثغرات الأمنية من Tenable إمكانات إدارة سطح الهجوم الخارجي (EASM). إذا كنت بحاجة إلى نطاقات و/أو تردد و/أو بيانات تعريف إضافية في نتائجك، فيمكنك شراء مكون إدارة سطح الهجوم من Tenable الإضافي لدينا.

يُعد الحل Tenable لفحص تطبيقات الويب تطبيقًا لاختبار أمان التطبيقات الديناميكي (DAST). ويتتبع اختبار أمان التطبيقات الديناميكي ارتباطات تطبيق ويب قيد التشغيل من خلال الواجهة الأمامية؛ لإنشاء خريطة موقع تضم جميع الصفحات والروابط والنماذج المراد اختبارها.بمجرد إنشاء اختبار أمان التطبيقات الديناميكي (DAST) خريطة للموقع، فإنه يستجوب الموقع من خلال الواجهة الأمامية لتحديد أي ثغرات أمنية في التعليمات البرمجية المخصصة للتطبيق أو أي ثغرات أمنية معروفة في المكونات الخارجية التي تشكل الجزء الأكبر من التطبيق

لمزيد من المعلومات حول فحص تطبيقات الويب من Tenable، يرجى زيارة صفحة منتج فحص تطبيقات الويب من Tenable. يرجى التسجيل للحصول على تقييم مجاني من خلال زيارة tenable.com/try-was أو الاتصال بـ شريك Tenable المعتمد لديك أو أحد موظفي Tenable للحصول على مزيدٍ من المعلومات.

رقم يعد فحص تطبيقات الويب من Tenable أحد حلول اختبار أمان التطبيقات الديناميكي الذي يختبر تطبيق الويب "من الخارج" عند تشغيل التطبيق في بيئة الاختبار أو الإنتاج.

تتمثل المزايا الأساسية لترخيص الأصول المرنة في:

• يشتري العملاء القدر المناسب من التراخيص، استنادًا إلى كميات الأصول، وليس أعداد عناوين IP المتضخمة.
• يتجنب العملاء المشروعات المستهلكة للوقت وغير الدقيقة في الغالب اللازمة لاستعادة التراخيص من الأصول التي تم إخراجها من الخدمة و/أو التي تم فحصها دون قصد.
• لا تتلف مقاييس إدارة الثغرات الأمنية؛ بسبب الحساب المزدوج أو الثلاثي للثغرات الأمنية في الأصول التي لها عناوين IP متعددة.

تتمثل المزايا الأساسية لترخيص الأصول المرنة في:

• يشتري العملاء القدر المناسب من التراخيص، استنادًا إلى كميات الأصول، وليس أعداد عناوين IP المتضخمة.
• يتجنب العملاء المشروعات المستهلكة للوقت وغير الدقيقة في الغالب اللازمة لاستعادة التراخيص من الأصول التي تم إخراجها من الخدمة و/أو التي تم فحصها دون قصد.
• لا تتلف مقاييس إدارة الثغرات الأمنية؛ بسبب الحساب المزدوج أو الثلاثي للثغرات الأمنية في الأصول التي لها عناوين IP متعددة.

نعم، يمكن للعملاء تجاوز عدد الأصول المرخصة، بصورة مؤقتة. وبالطبع، يحتاج العملاء إلى التسوية عند استمرار تجاوز عدد التراخيص.

تعرض واجهة مستخدم إدارة الثغرات الأمنية من Tenable كلاً من العدد المرخص للأصول واستخدام الترخيص الفعلي.

الأصل هو كيان يمكن تحليله. ومن بين أمثلة الأصول أجهزة سطح المكتب، وأجهزة الكمبيوتر المحمولة، والخوادم، وأجهزة التخزين، وأجهزة الشبكة، والهواتف، والأجهزة اللوحية، والأجهزة الظاهرية، وبرامج hypervisor، والحاويات.

عندما تكتشف إدارة الثغرات الأمنية من Tenable الأصل لأول مرة، فإنها تجمع سمات تعريف متعددة قد تتضمن المعرف الفريد العالمي لنظام الإدخال/الإخراج الأساسي (BIOS UUID)، و/أو عنوان التحكم في الوصول إلى الوسائط (MAC) الخاص بالنظام، و/أو اسم نظام الإدخال/الإخراج الأساسي للشبكة (NetBIOS)، و/أو اسم النطاق المؤهل بالكامل (FQDN)، و/أو السمات الأخرى التي يمكن استخدامها لتحديد الأصل بشكل موثوق. إضافةً إلى ذلك، يقوم وكلاء الفحص المعتمدون ووكلاء Nessus بتعيين مُعرف فريد عالمي (UUID ) من شركة Tenable للجهاز. عندما تقوم إدارة الثغرات الأمنية من Tenable بفحص الأصل بعد ذلك، فإنها تقارنه بالأصول التي سبق اكتشافها. إذا لم يتطابق الأصل المكتشف حديثًا مع أصل سبق اكتشافه، تتم إضافة الأصل إلى مخزون أصول إدارة الثغرات الأمنية من Tenable.

عادةً ما تكون عناوين IP ملكًا لأحد الأصول، وتمتلك العديد من الأصول عدة عناوين IP معينة (مثل أجهزة بروتوكول تهيئة المضيف الآلية (DHCP)، والأنظمة ذات الواجهات السلكية واللاسلكية، وما إلى ذلك).

في كثير من الأحيان، تحتوي الأصول على بطاقات واجهة شبكة متعددة، وهو ما يمكِّن شبكات متعددة من الوصول إليها. على سبيل المثال، قد يكون خادم الويب موجودًا في الوقت نفسه على شبكة إنتاج وشبكة إدارية، أو سيكون لجهاز الكمبيوتر المحمول في الغالب واجهة شبكة سلكية ولاسلكية. وبالإضافة إلى ذلك، غالبًا ما تحصل أجهزة الكمبيوتر المحمولة على عناوين IP جديدة أثناء نقلها من موقع إلى آخر. وفي حالة فحصها باستخدام عنوان IP واحد وبعد ذلك عنوان IP آخر، فسيتم حسابها مرتين.

تدعم إدارة الثغرات الأمنية من Tenable عمليات فحص الاكتشاف غير المحدودة باستخدام أجهزة الاستشعار النشطة والسلبية. ويمكن للعملاء استخدام عمليات الفحص هذه لإجراء جرد شامل لجميع أصولهم وتحديد حجم الترخيص المناسب.

تدعم إدارة الثغرات الأمنية من Tenable مجموعة متنوعة من المنهجيات لتجنب الحساب المزدوج أو الثلاثي للأصل نفسه لحساب حجم الترخيص المناسب. مع الأصول التقليدية، تستخدم إدارة الثغرات من Tenable خوارزمية خاصة تعمل على مطابقة الأصول المكتشفة حديثًا مع الأصول التي سبق اكتشافها لإزالة التكرارات وضمان إعداد تقارير أكثر دقة للثغرات.

في نهاية المطاف، يبقى لإدارة الثغرات الأمنية لبيانات العملاء من Tenable غرض واحد: وهو تقديم تجربة استثنائية يقوم العملاء خلالها بإدارة الأصول والثغرات الأمنية لتأمين بيئاتهم. لتحقيق هذا الغرض، تدير إدارة الثغرات الأمنية من Tenable ثلاث فئات من بيانات العملاء:

1. بيانات الأصول والثغرات الأمنية
2. بيانات الأداء البيئي
3. بيانات استخدام العميل

تجري إدارة الثغرات الأمنية من Tenable جردًا للأصول الموجودة على شبكات العملاء وإدارة سمات الأصول التي قد تتضمن عنوان IP وعنوان MAC واسم NetBIOS ونظام التشغيل والإصدار والمنافذ النشطة وغير ذلك المزيد.

تجمع إدارة الثغرات الأمنية من tenable بيانات تفصيلية عن الثغرات الأمنية والتكوينات الحالية والمحفوظة، التي قد تشمل مستوى الأهمية ومدى القابلية للاستغلال وحالة المعالجة وحالة نشاط الشبكة. إضافة إلى ذلك، إذا قام العملاء بتحسين بيانات إدارة الثغرات الأمنية من Tenable من خلال التكامل مع منتجات تابعة لجهات خارجية، مثل أنظمة إدارة الأصول وأنظمة إدارة التصحيح، فقد تعمد إدارة الثغرات الأمنية من Tenable إلى إدارة البيانات من تلك المنتجات.

تخفي شركة Tenable هوية بيانات العملاء وتحللها بغرض تحديد الاتجاهات في المجال، والاتجاهات في نمو الثغرات الأمنية والتخفيف من حدتها، والاتجاهات في الأحداث الأمنية. على سبيل المثال، يعود ربط وجود ثغرة أمنية باستغلالها بفوائد جمة على عملاء شركة Tenable. وتتضمن الفوائد الإضافية التحليلات المتقدمة والربط المحسّن لبيانات العملاء بأحداث واتجاهات المجال والأمن. ويسمح جمع هذه البيانات وتحليلها أيضًا للعملاء بوضع خط أساس لأنفسهم مقابل الآخرين في المجال أو بشكلٍ عام. وتوفر شركة Tenable طريقة للعملاء لإيقاف ذلك في حالة رغبتهم.

للحفاظ على أداء إدارة الثغرات الأمنية من Tenable وتوافرها وتقديم أفضل تجربة مستخدم ممكنة، تقوم إدارة الثغرات الأمنية من Tenable بجمع معلومات حالة التطبيق والمعلومات الصحية الخاصة بالعميل. ويتضمن ذلك عدد مرات اتصال أداة الفحص بالمنصة، وعدد الأصول المفحوصة وإصدارات البرامج المنشورة، بالإضافة إلى بيانات تتبع الاستخدام العامة الأخرى لتحديد المشكلات المحتملة ومعالجتها في أقرب وقت ممكن.

تستخدم شركة Tenable بيانات الحماية والحالة للكشف عن المشكلات المحتملة ومعالجتها في الوقت المناسب، وبالتالي الحفاظ على التزامات اتفاقية مستوى الخدمة (SLA). وبناءً عليه، لا يمكن للعملاء الانسحاب من جمع البيانات هذا.

تجمع شركة Tenable بيانات استخدام المستخدم مجهولة المصدر لتقييم تجربة العملاء وتحسينها. تتضمن هذه البيانات الوصول إلى الصفحة والنقرات وأنشطة المستخدم الأخرى التي تمنح المستخدم مساحةً لتبسيط تجربة المستخدم وتحسينها.

نعم. يمكن للعميل المطالبة بألا تكون الحاوية الخاصة به جزءًا من عملية الجمع.

يستخدم Tenable مراكز البيانات والخدمات من خدمات أمازون ويب (AWS) لتوفير إدارة الثغرات الأمنية وتقديمها للعملاء. وستختار شركة Tenable، بشكلٍ افتراضي، إنشاء حاوية عميل في المنطقة الأكثر ملاءمة لضمان توفير أفضل تجربة ممكنة لهذا العميل. المواقع الحالية هي:

• شرق الولايات المتحدة
• غرب الولايات المتحدة
• وسط الولايات المتحدة
• لندن
• فرانكفورت
• سيدني
• سنغافورة
• كندا
• اليابان
• البرازيل
• الهند

إذا طلب العميل، بصفة استثنائية، منطقة AWS معينة قبل النشر، فستنشط شركة Tenable العميل في تلك المنطقة.

نظرًا لأنه يتم تخزين جميع بيانات العملاء في خدمات AWS الإقليمية الآمنة، تنطبق شهادات حماية بيانات الاتحاد الأوروبي التي تحتفظ بها AWS على سحابة Tenable. ستجد مزيدًا من المعلومات هنا.

نعم. ولكن، لم يتم تحديد الإطار الزمني للمواقع الإضافية بعد.

هناك حالات يمكن فيها تخزين البيانات في مناطق خلاف منطقة AWS الأولية.

• يمكن لعملاء إدارة الثغرات الأمنية من Tenable إجراء عمليات فحص خارجية باستخدام مجموعات الفحص العامة المشتركة المتوفرة في عدد من مناطق AWS. وسيؤدي اختيار أداة فحص قريبة من الهدف إلى عمليات فحص أسرع بشكلٍ عام. وتجدر الإشارة إلى أنه عند استخدام العميل أداة فحص سحابية في موقع مختلف عن ذلك الموقع الذي يستضيف حسابه، ستتواجد بيانات الفحص مؤقتًا خارج موقع استضافة الحساب، ولكن لا يتم تخزينها. على سبيل المثال، إذا أجرى العميل الذي لديه حساب مستضاف في الاتحاد الأوروبي/ألمانيا الفحص باستخدام أداة فحص في الولايات المتحدة/فيرجينيا الشمالية، فستمر بيانات الفحص مؤقتًا عبر الولايات المتحدة قبل تخزينها في فرانكفورت. وإذا كان موقع البيانات يمثل مشكلة، فيجب على العملاء إجراء عمليات فحص خارجية فقط باستخدام أدوات الفحص السحابية في منطقتهم. ويمكن تحديد ذلك بسهولة على أساس كل فحص.
• إذا كان العميل يستخدم مركز أمان Tenable، فلن يتم تخزين بيانات الفحص الخاصة به في السحابة، حتى إذا كان يستخدم إدارة الثغرات الأمنية من Tenable لفحص جزء من بنيته التحتية الكاملة.
• يتم تخزين بيانات فحص وكيل Tenable Nessus في إدارة الثغرات الأمنية من Tenable عندما يقوم العملاء بإجراء عمليات الفحص من إدارة الثغرات الأمنية من Tenable. إذا أجرى العملاء عمليات فحص الوكيل باستخدام مدير Tenable Nessus، فلن يتم تخزين هذه البيانات في إدارة الثغرات الأمنية من Tenable، بغض النظر عن مكان انتشار الوكلاء.

نعم. تُخزن البيانات في البلد الذي تم تحديده عنه إنشاء الحساب.

تطبق Tenable إجراءات أمنية متعددة لتوفير الأمان والخصوصية لبيانات إدارة الثغرات الأمنية من Tenable.

تتبع Tenable عددًا من الممارسات لضمان أمان برمجيات تطبيق إدارة الثغرات الأمنية من Tenable.

يتم إجراء الاختبار من خلال ثلاث مجموعات منفصلة داخل شركة Tenable:

• يُجري فريق التطوير اختبار الأمن؛
• يجري فريق أمان تكنولوجيا المعلومات من Tenable اختبار الثغرات الأمنية على إدارة الثغرات الأمنية من Tenable قبل النشر وبعده (تُجرى اختبارات ما بعد النشر من دون جدولة مسبقة ودون سابق إنذار للفرق الأخرى.)؛
• وتوفر شركة Tenable مراجعة أمنية إضافية لكود المصدر والتغييرات قبل النشر.

جميع عمليات نشر البرنامج مؤتمتة، ولا تجري إلا من خلال نظام الإنشاء، الذي تتم مصادقته عبر بيانات اعتماد LDAP الخاصة بالشركات أو من خلال برمجية Ansible، والتي تتم مصادقتها باستخدام مفاتيح SSH الخاصة. ويتم تسجيل جميع عمليات النشر وتعقبها، ويتم إرسال إخطار بإجراء النشر (المخطط له أو غير المخطط له) تلقائيًا إلى فريق التطوير لدى شركة Tenable.

يتم تعقب جميع التغييرات التي تم إجراؤها على كود المصدر وربطها بالإصدار الذي يتم تثبيت هذا التغيير فيه. ويضمن هذا التعقب وجود سجل كامل بكل تغيير، والشخص الذي أجراه، وتوقيت إجرائه، وأخيرًا وقت نشر التغيير في مرحلة الإنتاج.

يوافق عضوان على الأقل من أعضاء فريق Tenable على كل عملية نشر. ويتم بث جميع التغييرات وعمليات النشر إلى جميع أعضاء الفريق. ويُنشر البرنامج أولًا لاختبار البيئات، ثم يتم نشره "بطريقة متدرجة" لمثيلات الإنتاج خلال فترة زمنية.

• يقع ضمان الوصول إلى إدارة الثغرات الأمنية من Tenable بطريقة آمنة ومصرح بها ضمن الأولويات القصوى لفرق التطوير والعمليات لدينا. توفر إدارة الثغرات الأمنية من Tenable عددًا من الآليات للحفاظ على أمان بيانات العملاء والتحكم في الوصول إليها. كما نتصدى لهجمات القوة العمياء من خلال قفل الحسابات بعد خمس (5) محاولات تسجيل دخول فاشلة.
• للحماية من عمليات اعتراض البيانات، يتم تشفير جميع الاتصالات الواردة إلى المنصة عبر SSL (TLS-1.2). علاوةً على ذلك، تُرفض مفاوضات SSL القديمة غير الآمنة لضمان أعلى مستوى من الحماية.
• ولحماية الوصول إلى النظام الأساسي، يمكن للعملاء تكوين المصادقة ثنائية العوامل من خلال الخدمات التي تقدمها Twillo.
• يمكن للعملاء دمج إدارة الثغرات الأمنية من Tenable مع نشرهم لغة SAML. تدعم إدارة الثغرات الأمنية من Tenable كلاً من الطلبات التي بدأها مقدم الهوية (IdP) ومقدم الخدمة (SP). وأخيرًا، يمكن للمستخدمين إعادة تعيين كلمة المرور الخاصة بهم مباشرةً داخل التطبيق باستخدام عنوان بريدهم الإلكتروني.
• يعمد العملاء غالبًا إلى بناء اتصالات العملاء لإدارة الثغرات الأمنية من Tenable باستخدام واجهات برمجة التطبيقات (API) أو مجموعات تطوير البرامج (SDK) الموثقة لدينا. ويمكن منح إمكانية الوصول والتحكم فيها من خلال إنشاء "مفاتيح" محددة لواجهات برمجة التطبيقات. ويتم دعم استخدام مفاتيح مختلفة لعمليات التكامل المختلفة دون الحاجة إلى مشاركة بيانات اعتماد المستخدم.

تطبق Tenable إجراءات أمنية متعددة لتوفير الأمان والخصوصية لبيانات إدارة الثغرات الأمنية من Tenable.

يتم تشفير جميع البيانات في جميع الحالات في منصة إدارة الثغرات الأمنية من Tenable بمستوى واحد على الأقل من التشفير، وباستخدام مستوى التشفير AES-256 على الأقل.

أثناء السكون: يتم تخزين البيانات على وسائط مشفرة باستخدام مستوى واحد على الأقل من تشفير AES-256.

تتضمن بعض فئات البيانات المستوى الثاني من التشفير لكل ملف.

أثناء النقل: يتم تشفير البيانات أثناء النقل باستخدام المستوى TLS v1.2 مع مفتاح 4096-bit (وهذا يشمل عمليات النقل الداخلية).

اتصالات جهاز استشعار إدارة الثغرات الأمنية من tenable: تبدأ عمليات نقل البيانات دائمًا من المستشعرات إلى المنصة من خلال المستشعر، وتكون صادرة عبر المنفذ 443 فقط. يتم تشفير عمليات نقل البيانات عبر اتصال SSL باستخدام TLS 1.2 مع مفتاح 4096 بت. ويقضي ذلك على الحاجة إلى إجراء تغييرات في جدار الحماية، ويسمح للعميل بالتحكم في الاتصالات عبر قواعد جدار الحماية.

• مصادقة أداة الفحص إلى المنصة
• تنشئ المنصة مفتاحًا عشوائيًا بطول 256 بت لكل أداة فحص متصلة بالحاوية، وتمرر هذا المفتاح إلى أداة الفحص في أثناء عملية الربط
• تستخدم أدوات الفحص هذا المفتاح للمصادقة مرة أخرى على وحدة التحكم عند طلب الوظائف، وتحديثات المكون الإضافي، وإجراء تحديثات على أداة الفحص الثنائية
• الاتصال الوظيفي من أداة الفحص إلى المنصة
• تتصل أدوات الفحص بالمنصة كل 30 ثانية
• في حالة وجود وظيفة، تنشئ المنصة مفتاحًا عشوائيًا بطول 128 بت
• تطلب أداة الفحص السياسة من المنصة
• تستخدم وحدة التحكم المفتاح لتشفير السياسة، والتي تتضمن بيانات الاعتماد التي يتعين استخدامها في أثناء الفحص

في النسخ الاحتياطية/التكرار: يتم تخزين اللقطات المجمعة والنسخ المكررة للبيانات بمستوى التشفير نفسه الخاص بمصدرها، وبما لا يقل عن المستوى AES-256. تُجرى جميع عمليات التكرار من خلال الموفّر. ولا تنسخ شركة Tenable أي بيانات احتياطيًا على وسائط مادية خارج الموقع أو أنطمة مادية.

في الفهارس: يتم تخزين بيانات الفهرس على وسائط مشفرة باستخدام مستوى واحد على الأقل من تشفير AES-256.

بيانات اعتماد الفحص: يتم تخزينها داخل سياسة مشفرة داخل المفتاح العام للحاويات AES-256. وعند بدء عمليات الفحص، يتم تشفير السياسة بمفتاح 128 بت عشوائي يستخدم مرة واحدة، ويتم نقلها باستخدام TLS v1.2 مع مفتاح 4096 بت.

ادارة المفاتيح: يتم تخزين المفاتيح مركزيًا، ويتم تشفيرها باستخدام مفتاح مستند إلى الدور، ويكون الوصول إليها محدودًا. ويمكن مناوبة جميع البيانات المشفرة المخزنة إلى مفتاح جديد. وتختلف مفاتيح تشفير ملف البيانات في كل موقع إقليمي، وكذلك مفاتيح مستوى القرص. كما يُمنع تبادل المفاتيح وتُراجع إجراءات إدارة المفاتيح سنويًا.

لا يمكن للعميل تكوين إدارة المفاتيح. وتدير شركة Tenable المفاتيح وتناوب المفاتيح.

تمتثل Tenable Network Security إلى إطار عمل Privacy Shield الأوروبي - الأمريكي وإطار عمل Privacy Shield السويسري - الأمريكي كما نصت عليه وزارة التجارة وزارة التجارة فيما يتعلق بجمع المعلومات الشخصية المنقولة من الاتحاد الأوروبي وسويسرا إلى الولايات المتحدة بالترتيب وما يتعلق باستخدام تلك البيانات والاحتفاظ بها. وصدقت وزارة التجارة على أن Tenable Network Security تلتزم بمبادئ Privacy Shield. وفي حالة وجود أي تعارض بين الشروط الواردة في سياسة الخصوصية هذه ومبادئ Privacy Shield، فسيتم الاحتكام إلى مبادئ Privacy Shield. لمعرفة المزيد حول برنامج Privacy Shield، ولعرض شهادتنا، يُرجى زيارة الموقع الإلكتروني https://www.privacyshield.gov/.

أكملت شركة Tenable التقييم الذاتي لشهادة Cloud Security Alliance (CSA) STAR. تجيب ردود Tenable على استبيان مبادرة تقييم الإجماع (CAIQ) عن مجموعة مكونة من أكثر من 140 سؤالًا متعلقًا بالأمان قد يطلبها العميل أو الشريك المحتمل لإدارة الثغرات الأمنية من Tenable. ويُعد CSA STAR أقوى برنامج في المجال لضمان الأمن في السحابة. يشمل برنامج STAR (سجل الأمن والثقة والضمان) المبادئ الأساسية للشفافية، والتدقيق الصارم، وتوحيد المعايير، بما في ذلك مؤشرات أفضل الممارسات والتحقق من صحة الوضع الأمني للعروض السحابية.

يبذل نظام إدارة الثغرات الأمنية من Tenable كل جهد ممكن لعدم جمع أنواع بيانات معلومات التعريف الشخصية (PII) بتنسيق يتطلب شهادات أو تدابير أمان إضافية. ويتضمن ذلك أرقام بطاقات الائتمان، وأرقام التأمين الاجتماعي، والشيكات المخصصة الأخرى. وعندما تلتقط المكونات الإضافية من Tenable سلاسل أحرف قد تحتوي على معلومات حساسة أو شخصية، تقوم المنصة تلقائيًا بتشويش 50% على الأقل من الأحرف لحماية البيانات التي قد تكون حساسة.

يتم تمييز بيانات كل عميل بـ "مُعرف الحاوية"، الذي يتوافق مع اشتراك العميل المحدد. ويضمن مُعرف الحاوية هذا تقييد إمكانية الوصول إلى بيانات العميل لهذا العميل فقط.

• تجري Tenable عمليات فحص الثغرات الأمنية يوميًا.
• تتحكم جدران الحماية وتقسيم الشبكة في إمكانية الوصول.تتولى الأدوات والعمليات الآلية مراقبة النظام الأساسي لإدارة الثغرات الأمنية من Tenable للتأكد من وقت التشغيل والأداء واكتشاف السلوكيات الشاذة.
• تُراقب السجلات بالأنظمة الآلية 24 ساعة على مدار الأسبوع طوال العام، ويتواجد موظفو Tenable 24 ساعة على مدار الأسبوع طوال العام للاستجابة للأحداث.

تؤدي المستشعرات التي تتصل بالمنصة دورًا رئيسيًا في أمن العميل، من خلال جمع معلومات الأصول والثغرات الأمنية. تعد حماية هذه البيانات وضمان أمان مسارات الاتصال إحدى الوظائف الأساسية لإدارة الثغرات الأمنية من Tenable. تدعم إدارة الثغرات الأمنية من Tenable العديد من أجهزة الاستشعار في الوقت الحالي: أجهزة فحص الثغرات الأمنية من Tenable Nessus، وأجهزة الفحص السلبية، ووكلاء Tenable Nessus.

تتصل أجهزة الاستشعار هذه بمنصة إدارة الثغرات الأمنية من Tenable بعد المصادقة المشفرة والربط بإدارة الثغرات الأمنية من Tenable. بمجرد حدوث الربط، تتولى إدارة الثغرات الأمنية من Tenable إدارة جميع التحديثات (المكونات الإضافية، والتعليمات البرمجية، وغيرهما) لضمان التحديث الدائم لأجهزة الاستشعار.

تبدأ عمليات نقل البيانات دائمًا من المستشعرات إلى المنصة من خلال المستشعر، وتكون صادرة عبر المنفذ 443 فقط. يتم تشفير عمليات نقل البيانات عبر اتصال SSL باستخدام TLS 1.2 مع مفتاح 4096 بت. ويقضي ذلك على الحاجة إلى إجراء تغييرات في جدار الحماية، ويسمح للعميل بالتحكم في الاتصالات عبر قواعد جدار الحماية.

• مصادقة أداة الفحص إلى المنصة
  • تنشئ المنصة مفتاحًا عشوائيًا بطول 256 بت لكل أداة فحص متصلة بالحاوية، وتمرر هذا المفتاح إلى أداة الفحص في أثناء عملية الربط
  • تستخدم أدوات الفحص هذا المفتاح للمصادقة مرة أخرى على وحدة التحكم عند طلب الوظائف، وتحديثات المكون الإضافي، وإجراء تحديثات على أداة الفحص الثنائية
• الاتصال الوظيفي من أداة الفحص إلى المنصة
  • تتصل أدوات الفحص بالمنصة كل 30 ثانية
  • في حالة وجود وظيفة، تنشئ المنصة مفتاحًا عشوائيًا بطول 128 بت
  • تطلب أداة الفحص السياسة من المنصة
  • تستخدم وحدة التحكم المفتاح لتشفير السياسة، والتي تتضمن بيانات الاعتماد التي يتعين استخدامها في أثناء الفحص

تسعى خدمات إدارة الثغرات الأمنية من Tenable إلى توفير وقت تشغيل بنسبة 99.95% أو أفضل من ذلك، وقد وفرت بالفعل وقت تشغيل بنسبة 100% لمعظم الخدمات. وقد نشرت شركة Tenable اتفاقية مستوى الخدمة (SLA) التي توضح مدى التزامنا بضمان إتاحة المنصة لجميع المستخدمين وكيفية تعويضنا للعملاء في حالة حدوث تعطل غير مخطط له.

يتم تحديد حالة "Up" (التشغيل) ببساطة عن طريق اختبارات التوافر العام التي تستضيفها جهة خارجية تختبر بانتظام توافر جميع الخدمات. يتوفر وقت تشغيل الخدمات (الحالية والمحفوظة) على https://status.tenable.com.

تستفيد إدارة الثغرات من Tenable من منصة AWS وغيرها من التكنولوجيات الرائدة على نطاق واسع لضمان حصول عملائنا على أفضل خدمة ممكنة وجودة شاملة. فيما يلي قائمة جزئية بالحلول التي توفر مزايا للعملاء

• مجموعات ElasticSearch: تتوفر مجموعات ElasticSearch على نطاق واسع ويمكنها التعافي من فقدان العقد الرئيسية وعقد موازنة التحميل (lb) وعقدة بيانات واحدة على الأقل، دون التأثير في توفر الخدمة.
• مخازن الكتل المرنة: تُستخدم لرصد لقطات يومية وتخزين ثماني (8) نسخ.
• نظام Kafka العام: يقوم كل من Kafka وZookeeper بنسخ البيانات عبر المجموعة لتوفير التسامح مع الأخطاء في حالة الفشل الذريع لأي عقدة.
• مثيلات Postgres: تدير إطار عمل الخدمات المصغرة في الخلفية للاحتفاظ باللقطات لمدة 30 يومًا.

تُخزن البيانات المنسوخة نسخًا متماثلًا داخل المنطقة نفسها.

الكوارث هي الأحداث التي تؤدي إلى فقدان البيانات أو المعدات بشكلٍ غير قابل للاسترداد في منطقة واحدة أو أكثر من منطقة.

تشمل إجراءات التعافي من الكوارث لإدارة الثغرات الأمنية من Tenable عدة مستويات، وهي مصممة للتفاعل مع المواقف التي قد تحدث من أي مكان بمعدلات تتراوح بين مرة واحدة كل خمس سنوات ومرة واحدة كل 50 سنة. وبناءً على نطاق الكارثة، يتفاوت زمن إجراءات الاسترداد من 60 دقيقة إلى 48 ساعة.

يتحكم العملاء فيمن يمكنه الوصول إلى بياناتهم، بما في ذلك تعيين الأدوار والأذونات لموظفيهم ومنح الوصول بشكلٍ مؤقت من موظفي الدعم لدى شركة Tenable.

يمكن لمسؤولي عملاء إدارة الثغرات الأمنية من Tenable تعيين أدوار المستخدم (أساسية، قياسية، مسؤول، معطل) لإدارة الوصول إلى عمليات الفحص والسياسات وأدوات الفحص والوكلاء وقوائم الأصول.

نعم.بإذن من العميل، يمكن لأعضاء المستوى الثالث من طاقم دعم Tenable العالمي انتحال هويات حسابات المستخدم، ليتسنى لهم تنفيذ العمليات في إدارة الثغرات الأمنية من Tenable بصفة مستخدم آخر دون الحاجة إلى الحصول على كلمة مرور هذا المستخدم. ويمكن لموظفي الدعم لدى شركة Tenable، أو العميل، تقديم طلب لتفعيل الميزة. ويطلب موظفو الدعم لدى شركة Tenable من العميل "الموافقة" على انتحال الهوية عبر ملاحظة في حالة دعم نشطة. كما يجب منح الإذن لكل مشكلة يتم تسجيلها باستخدام الدعم. فلن تعمل شركة Tenable بـ "موافقة" مفتوحة لانتحال الهوية في أي وقت. وقد يؤدي انتحال هوية المستخدم إلى نقل البيانات من الموقع الأساسي.

يُطلب من جميع موظفي عمليات إدارة الثغرات الأمنية من Tenable اجتياز التحق من الخلفية من جهة خارجية. كما أن جميع أعضاء الفريق الكبار يتمتعون بخبرة لا تقل عن خمس سنوات في شركات برمجيات الأمان المستندة إلى البرمجيات كخدمة (SaaS)، ويحمل عديد منهم شهادات أمان، مثل CISSP.

تمتلك شركة Tenable عملية محددة للتعيين والفصل من العمل. ويُطلب من جميع الموظفين توقيع اتفاقيات عدم الكشف عن المعلومات في إطار عملية تعيينهم، ويتم إبطال جميع الحسابات ومفاتيح الوصول على الفور بمجرد إنهاء التعاقد.

لا يُسمح إلا للمستوى الثالث من موظفي الدعم لدى شركة Tenable باستخدام وظيفة انتحال الهوية.

نعم.

تبذل Tenable قصارى جهدها لضمان حماية بيانات العملاء، ونحن نضمن اتباع سياساتها من خلال العمل مع العملاء لضمان بقاء البيانات في المنطقة المطلوبة. ومع ذلك، هناك حالات يمكن للعملاء فيها إرسال تقرير بالبريد الإلكتروني إلى شركة Tenable أو انتهاك سياستهم الخاصة عن طريق المراسلة بالبريد الإلكتروني خارج منطقتهم.

لا. تبدأ أداة الفحص جميع عمليات نقل البيانات وتكون صادرة فقط. ويتم تثبيت أدوات الفحص خلف جدار الحماية الخاص بالعميل، ويمكنهم التحكم في وصول أدوات الفحص عبر جدار الحماية الخاص بها.

صُممت فترات الاحتفاظ بالبيانات لتلبية متطلبات العملاء والمتطلبات التنظيمية المختلفة.

تعد القدرة على قياس مسار التقدم بمرور الوقت وظيفة أساسية لمنصة إدارة الثغرات الأمنية من Tenable. ستتولى إدارة الثغرات الأمنية من Tenable تخزين بيانات العملاء تلقائيًا لمدة 15 شهرًا ليتسنى لهم إعداد التقارير على مدى فترة زمنية مدتها سنة واحدة (1).

إذا كان العملاء بحاجة إلى فترة تخزين أطول من 15 شهرًا، فإن إدارة الثغرات الأمنية من Tenable توفر عدة طرق لتنزيل بيانات العملاء، ومن ثم يمكنهم تخزينها بالطريقة التي يريدون.

في حالة انتهاء صلاحية حساب العميل أو إنهائه، ستحتفظ شركة Tenable بالبيانات، كما كانت في وقت انتهاء الصلاحية، لمدة لا تزيد عن 180 يومًا. بعد ذلك الوقت، قد تُحذف هذه البيانات ولا يمكن استردادها.

لا يتم حذف البيانات المتضمنة في عملية التحقق من الامتثال لـ PCI إلا بعد ثلاث سنوات على الأقل من تاريخ مصادقة PCI، كما تنص عليه لوائح PCI. تحتفظ Tenable بهذه البيانات لهذه الفترة الزمنية، حتى لو اختار العميل حذف عمليات الفحص أو الحساب الخاص به، أو قام بإنهاء خدمة إدارة الثغرات الأمنية من Tenable.

في سبيل ضمان أفضل تجربة ممكنة، نجمع هذه المعلومات طالما ظلت حاوية العميل نشطة. وبمجرد إيقاف العميل للخدمة، سيتم الاحتفاظ بالبيانات لمدة لا تزيد عن 180 يومًا.

لا يتم تطبيق شهادة المعايير العامة عمومًا على حل SaaS، لأن تكرار التحديثات لا يتناسب مع عملية الاعتماد التي يستغرق استكمالها ما يتراوح بين ستة وتسعة أشهر.

إذا طلب العميل، بصفة استثنائية، موقعًا جغرافيًا معين قبل النشر، فستنشط شركة Tenable العميل في هذا الموقع. المواقع الحالية هي:

• الولايات المتحدة
• لندن
• فرانكفورت
• سيدني
• سنغافورة
• كندا
• اليابان
• البرازيل
• الهند

لا. لا تنسخ شركة Tenable حاليًا البيانات نسخًا متماثلًا من موقع إلى آخر.

يشير PCI ASV إلى المتطلب 11.2.2 من متطلبات معيار أمان البيانات في مجال بطاقات الدفع وإجراءات تقييم الأمن التي تتطلب عمليات فحص خارجية للثغرات الأمنية، والتي يجب إجراؤها (أو التصديق عليها) من جانب مورِّد فحص معتمد. وتُعد ASV مؤسسة لديها مجموعة من الخدمات والأدوات ("حل الفحص ASV")؛ للتحقق من الالتزام بمتطلبات الفحص الخارجي في المتطلب PCI DSS 11.2.2.

يتطلب معيار PCI DSS فحص الثغرات الأمنية لجميع مكونات النظام التي يمكن الوصول إليها خارجيًا (المواجهة للإنترنت) التي يمتلكها أو يستخدمها عميل الفحص والتي تُعد جزءًا من بيئة بيانات حامل البطاقة، بالإضافة إلى أي مكون نظام مواجه خارجيًا يوفر مسارًا إلى بيئة بيانات حامل البطاقة.

تتكون المراحل الأساسية لفحص ASV من:

• تحديد النطاق: يتم إجراؤه من قِبل العميل ليشمل جميع مكونات النظام المواجهة للإنترنت والتي تعد جزءًا من بيئة بيانات حامل البطاقة.
• الفحص: استخدام قالب الفحص الخارجي ربع السنوي لإدارة الثغرات الأمنية في صناعة بطاقات الدفع (PCI)
• إعداد التقارير/المعالجة: تتم معالجة النتائج المستمدة من التقارير المؤقتة.
• حل النزاعات: يعمل العميل ومورِّد الفحص المعتمد (ASV) معًا لتوثيق نتائج الفحص المتنازع عليها وحلها.
• إعادة الفحص (حسب الحاجة): حتى يتم إنشاء فحص ناجح يحل النزاعات والاستثناءات.
• إعداد التقارير النهائية: يتم تقديمها وتسليمها بطريقة آمنة.

يلزم إجراء عمليات فحص الثغرات الأمنية لدى مورد الفحص المعتمد (ASV) كل ثلاثة أشهر على الأقل وبعد أي تغيير كبير يطرأ على الشبكة، مثل عمليات تثبيت مكونات جديدة للنظام أو إجراء تغييرات في هيكل الشبكة أو إدخال تعديلات في قواعد جدار الحماية أو إحداث ترقيات للمنتج.

يتولى مورد الفحص المعتمد على وجه التحديد إجراء عمليات فحص للثغرات الأمنية الخارجية فقط والموضحة في النموذج PCI DSS 11.2. يشير مقيم الأمان المؤهل (QSA) إلى شركة تقييم حازت على التأهيل والتدريب من قِبل مجلس معايير أمان (SSC) صناعة بطاقات الدفع (PCI) لإجراء تقييمات PCI DSS عامة في الموقع.

نعم.تُعد Tenable مورد فحص معتمد مؤهل للتحقق من صحة عمليات فحص الثغرات الخارجية للبيئات المواجهة للإنترنت (المستخدمة لتخزين بيانات حامل البطاقة أو معالجتها أو نقلها) للتجار ومقدمي الخدمات. تتكون عملية تأهيل مورِّد الفحص المعتمد (ASV) من ثلاث مراحل: تتضمن المرحلة الأولى تأهيل Tenable Network Security كمورِّد. ويتعلق الثاني بتأهيل موظفي Tenable المسؤولين عن خدمات فحص صناعة بطاقات الدفع عن بُعد. أما الثالث، فيتكون من اختبار الأمان لحل الفحص عن بُعد من Tenable (إدارة الثغرات الأمنية من Tenable ومورد الفحص المعتمد لصناعة بطاقات الدفع (PCI ASV) من Tenable).

يمكن لمورِّدي الفحص المعتمدين (ASVs) إجراء عمليات الفحص. ومع ذلك، تعتمد شركة Tenable على العملاء لإجراء عمليات الفحص الخاصة بهم باستخدام قالب الفحص الخارجي ربع السنوي PCI. يمنع هذا القالب العملاء من تغيير إعدادات التكوين، مثل تعطيل عمليات فحص الثغرات الأمنية، وتعيين مستويات الخطورة، وتغيير معلمات الفحص، وما إلى ذلك. يستخدم العملاء أدوات الفحص المستندة إلى السحابة التابعة لإدارة الثغرات الأمنية من Tenable لفحص البيئات المواجهة للإنترنت لديهم، ومن ثم إرسال تقارير الفحص المتوافقة إلى Tenable لمصادقتها. تصدق شركة Tenable على تقارير الفحص، ثم يرسلها العميل إلى المشترين أو العلامات التجارية لخدمات الدفع بتوجيه من العلامات التجارية لخدمات الدفع.

بيانات الثغرات الأمنية ليست بيانات توجيه حماية البيانات للاتحاد الأوروبي 95/46/EC، لذا فإن أي متطلبات خاصة بموقع البيانات ستكون مستندة إلى العميل وليس إلى الجهة التنظيمية. ويمكن أن يكون للمنظمات الحكومية التابعة لدول الاتحاد الأوروبي متطلباتها الخاصة بموقع البيانات، ولكن يجب تقييم هذه المتطلبات على أساس كل حالة على حدة، ولا تمثل مشكلة على الأرجح لعمليات فحص PCI-ASV.

نعم، يتضمن Tenable Vulnerability Management ترخيص PCI ASV لأصل PCI واحد وفريد. وقد بذلت بعض المؤسسات كل ما في وسعها للحد من الأصول الموجودة في النطاق الخاصة بمجال بطاقات الدفع، عن طريق الاستعانة بمصادر خارجية لوظائف معالجة الدفع في الغالب. نظرًا إلى أن هؤلاء العملاء "ليسوا منخرطين في مجال أعمال صناعة بطاقات الدفع"، قامت شركة Tenable بتبسيط عمليات الشراء والترخيص الخاصة بها. ويمكن للعميل تغيير الأصل الخاص به كل 90 يومًا.

بالنسبة للعملاء الذين لديهم أكثر من أصل PCI واحد وفريد، يتم ترخيص حل Tenable PCI ASV كإضافة إلى اشتراكات Tenable Vulnerability Management.

يمكن أن يتغير عدد الأجهزة المضيفة المواجهة للإنترنت التي توجد داخل بيئة بيانات حامل البطاقة الخاصة بالكيان، أو توفر مسارًا إليها بشكلٍ متكرر، وهو ما يؤدي بدوره إلى خلق تعقيد الترخيص. وقد اختارت شركة Tenable استخدام نهج ترخيص أبسط.

يمكن للعملاء تقديم عدد غير محدود من عمليات التصديق ربع السنوية.

نعم. يمكن لعميل التقييم استخدام قالب الفحص الخارجي ربع السنوي PCI لفحص الأصول ومراجعة النتائج. ولكن، لا يمكنه تقديم تقارير الفحص للتصديق عليها.